A Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky, em colaboração com especialistas da BI.ZONE Vulnerability Research, identificou novas atividades ligadas ao backdoor PipeMagic, descoberto em dezembro de 2022. Os ataques mais recentes mantêm o foco em organizações da Arábia Saudita e agora atingem empresas brasileiras, tornando o Brasil o único alvo da América Latina.
Vulnerabilidade explorada em sistemas Microsoft
Os pesquisadores analisaram mudanças significativas nas táticas do PipeMagic, incluindo a exploração da vulnerabilidade CVE-2025-29824, corrigida em abril de 2025. Entre 121 falhas ajustadas pela Microsoft no período, essa foi a única que já vinha sendo explorada ativamente. A brecha no driver clfs.sys possibilitava a elevação de privilégios no sistema operacional, abrindo espaço para atividades maliciosas.
Um dos ataques recentes utilizou um arquivo de índice de Ajuda da Microsoft com duplo propósito: descriptografar e executar um código shell. O conteúdo era criptografado com a cifra RC4 e, após descriptografia, executado pela função WinAPI EnumDisplayMonitors, o que permitia a resolução dinâmica de endereços API e a injeção em processos.
Aplicativos falsos do ChatGPT
Além das falhas no sistema, os criminosos passaram a distribuir versões atualizadas do PipeMagic disfarçadas como clientes do ChatGPT. Esses aplicativos falsos compartilham semelhanças técnicas com os usados em 2024 contra organizações sauditas, incluindo as estruturas “Tokio” e “Tauri” e a biblioteca “libaes”.
“O ressurgimento do PipeMagic confirma que esse malware continua ativo e evoluindo. As versões de 2024 introduziram aprimoramentos que aumentam a persistência nas infraestruturas das vítimas e promovem a movimentação lateral dentro das redes atingidas”, afirma Fabio Assolini, Diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Crescente interesse em drivers vulneráveis
Para especialistas, o driver clfs.sys tornou-se um alvo recorrente dos agentes de ameaça.
“Nos últimos anos, o clfs.sys tornou-se um alvo cada vez mais popular dos cibercriminosos, especialmente agentes com motivação financeira. Eles exploram vulnerabilidades de ‘dia zero’ nesse e em outros drivers para expandir privilégios e dissimular atividades pós-exploração. Para atenuar essas ameaças, recomendamos usar ferramentas de EDR, que desabilitam os bots”, comenta Pavel Blinnikov, líder em pesquisa de vulnerabilidades da BI.ZONE.
Histórico do PipeMagic
Descoberto em 2022 durante uma investigação sobre a família de ransomware RansomExx, o PipeMagic foi inicialmente usado contra indústrias do sudeste asiático. Na época, explorava a vulnerabilidade CVE-2017-0144 para comprometer infraestruturas internas. O backdoor possui dois modos de operação: como ferramenta de acesso remoto completo ou como proxy de rede, permitindo execução de comandos.
Em outubro de 2024, uma nova variante já havia sido usada contra organizações na Arábia Saudita, também por meio de aplicativos falsos do ChatGPT. Agora, com a inclusão de alvos no Brasil, o malware mostra capacidade de adaptação e ampliação de alcance.
O relatório completo da pesquisa está disponível em Securelist.com
.
